【編者按】 網絡安全 ，我們無時無刻不在面臨著其攻擊，但卻常常忽視其存在。這起WanaCrypt0r2.0勒索軟件攻擊全球Windows漏洞的事件，已經為100多個國家的政府、高校、醫院等機構造成損失。 黑客 要求每個被攻擊者支付贖金后方能解密恢復文件，而此次的贖金方式使用了當下最為火熱的產品 比特幣 。所以，很多人看到這個消息會對比特幣產生“仇視”的印象，其實，作為一種匿名的數字資產，正是黑客使用其作為轉賬的工具，因為使用法幣轉賬會留下痕跡，容易被警方掌握證據。總之，這次事件各個國家將高度重視，帶來的世界級的影響也將給各類人群敲響警鐘，網絡安全戰略刻不容緩！

本文系投稿文章，億歐編輯整理，供行業內人士參考。

---

5月12號，WanaCrypt0r2.0勒索軟件攻擊全球Windows漏洞，截至目前，已有100多個國家的政府、高校、醫院等機構被攻陷。此事仍在進一步發酵，而目前對于被感染的系統、文件似乎沒有任何破解的方法，全球數十億用戶安全，竟被一位躲在暗處的人玩弄于股掌之中。

為此，Xtecher第一時間采訪了華為高級安全專家婁偉峰、威客安全CEO陳新龍、360安全首席工程師鄭文彬、青蓮云CEO董方、長亭科技CEO陳宇森、杰思安全CEO劉春華、阿里云技術專家、網絡安全專家劉博士、招股科技CTO程超等眾多國內一線安全領域專家，以理清此事來龍去脈。

大恐慌！

5月12日，一個黑客坐在電腦前，輕輕按下了Enter鍵。這個看似無足輕重的動作，掀起了全球七十多個國家、數十億用戶對網絡安全的恐慌。

當晚，WanaCrypt0r2.0（以下簡稱Wcry2.0）勒索軟件在全球爆發。在無需用戶任何操作的情況下，Wcry2.0即可掃描開放445文件共享端口的Windows機器，從而植入惡意程序。

目前，該勒索病毒的攻擊已經擴散到全球74個國家，包括美國、英國、中國、西班牙、俄羅斯等。此次被攻擊的對象包括政府、醫院、公安局以及各大高校等機構和個人。

黑客要求每個被攻擊者支付贖金后方能解密恢復文件，而此次的贖金方式使用了當下最為火熱的產品比特幣，勒索金額最高達5個比特幣，價值人民幣5萬多元。

國內最早的防病毒廠商kill公司技術總監、江民公司原技術總監、現華為高級安全專家婁偉峰告訴Xtecher：“ 從技術上講，這不算是一次黑客攻擊，而是一次大面積的以經濟為目的勒索軟件傳播事件。此次大規模傳播的Onion、WNCRY勒索軟件是‘永恒之藍’勒索軟件的病毒變種，但恰恰是這類并非新技術的病毒，反而能肆虐蔓延、短短時間內侵襲各大機構，經濟損失截至目前已達數十億。”

網絡安全專家劉博士告訴Xtecher：“本質上病毒要想獲得訪問權限、突破訪問控制，操作系統會通過防火墻等做訪問限制，但如果系統有安全漏洞可以被利用，就有可能突破。Windows被感染的幾個版本恰好有漏洞可被利用。”

360安全首席工程師鄭文彬告訴Xtecher：“中國此次遭受攻擊的主要是教育網用戶。上個月360針對該端口漏洞發出預警，并推出了免疫工具，微軟此前也已發布相關漏洞補丁。但許多教育網并未對此漏洞做出修復，以至于淪為重災區。”

為何教育網、公安局、醫院等機構淪為重災區？

鄭文彬認為，這類機構多使用內網、較少與外界接觸，以至于在防范意識上存在疏漏。而另一方面，這些機構并不能保證完全隔絕互聯網，一旦被病毒掃描，則同樣會中毒——而只需一臺電腦被掃描，便會像人類感染病毒一般傳染到其它電腦。

青蓮云CEO董方告訴Xtecher：“學校使用教育網，教育網是專網，其特點為，學校的某一個網站被攻擊以后，會在專網中迅速傳播，且教育網防護的等級不是很高，導致學校成為重災區。”

此外，本次被病毒感染的多是Windows系統，而蘋果、安卓僥幸免于災難。

長亭科技CEO陳宇森告訴Xtecher：“這與系統優劣并無關系。此次攻擊是利用Windows漏洞進行，對其主機/服務器運行在445端口的SMB服務進行攻擊，所以中招的都是Windows系統。微軟官方3月份陸續發布不同版本的系統補丁，就在13號下午，還專門針對XP和2003系統發布了特別補丁。”

不過華為云安全負責人婁偉峰認為，從經濟利益的角度看，微軟的用戶數量遠大于蘋果，因此成了被攻擊的原因之一。

“這是微軟十年來出現的較為重大的事件，4月15號微軟已發出預警，但可能預警方式太偏技術，以至大家沒看懂被攻擊的后果是什么。 ”青蓮云CEO董方告訴Xtecher。

那么，這樣一次攻擊范圍波及全球，涉及金融、醫療、鐵路、能源、教育系統等終端的病毒，究竟從何而來？

病毒從何而來？

此次“永恒之藍”變異的勒索蠕蟲，是NSA網絡軍火民用化的全球第一例。

早在4月14日，自稱“影子經紀人”（Shadow Brokers）的黑客團體泄露出一份震驚世界的機密文檔，其中包含了多個Windows遠程漏洞利用工具，可以覆蓋全球70%的Windows服務器，影響程度極其巨大，但國內諸多政府、高校等機構并沒有引起足夠的重視。

華為高級安全專家婁偉峰告訴Xtecher：“影子經紀人”（Shadow Brokers）攻破了NSA（美國國家安全局）網絡，拿到其中一個叫“方程式”的黑客組織的大量軍用級別黑客工具，ShadowBrokers將其中一個黑客工具做成“永恒之藍”，而這次的勒索軟件正是“永恒之藍”的變種。

而據360安全首席工程師鄭文彬猜測，之前美國軍方使用黑客技術攻擊中東銀行，而此前美國政府對敘利亞進行轟炸，導致了黑客的不滿，繼而盜出此技術，以示威脅。

黑客使用勒索軟件由來已久，但大多數病毒軟件勒索的贖金都是法幣、電子匯款、預付卡等手段收取。但這次病毒勒索事件，黑客似乎蹭了比特幣熱點。

為何使用比特幣作為贖金？

深圳招股科技聯合創始人程超告訴Xtecher：比特幣作為一種匿名轉賬的數字資產，其匿名特性成為黑客首要看重的特性。 比特幣地址是一串英文字符亂碼，不綁定任何用戶信息，所以單純從比特幣地址無法追蹤到用戶信息，這讓黑客可以更簡單地規避追捕和監管。

而網上不少觀點認為后續黑客有可能放棄大額勒索，因為一旦大量比特幣流入該黑客賬戶，有可能導致其行為軌跡被追蹤。然而，360安全首席工程師鄭文彬表示，基于比特幣的勒索，很難查找蹤跡，要想抓到黑客幾乎不可能。

事件發生后，網絡熱議，認為比特幣不可追蹤性、隱蔽性，給了黑客團伙提供了一個便捷作案工具。

這件事是否要怪比特幣？

程超認為，本次勒索事件， 比特幣背了一個黑鍋——即便沒有比特幣，黑客也會使用其它幣種。當然，比特幣也確實存在缺乏監管的問題，如果比特幣交易所加強身份信息審核，將會增加黑客變現難度。當然，一旦比特幣使用實名制，黑客也會尋找其他虛擬貨幣作為贖金。

威客安全CEO陳新龍告訴Xtecher：雖然可以查到比特幣流通的錢包信息，但是錢包信息是匿名的，因此無法追蹤這個錢包屬于誰。理論上來講，可以通過技術手段找到錢包背后的人，但極為困難，目前僅是理論階段。

當然，比特幣，作為一個新事物，不應該游離于法外之地，應輔以適當監管，保證行業穩定有序發展。2017年6月，中國將會出臺比特幣監管相關法律，或將在一定程度上讓比特幣免背黑鍋。

無論將來比特幣如何接受監管，就目前而言，眼下人們似乎更為關心自己被病毒加密的文件該如何處理。

亡羊補牢：預防為主

NSA作為美國政府機構中最大的情報部門，在美國大片中，該部門似乎無所不能，但目前似乎尚未拿出對策，更遑論我等普通大眾。

網絡安全專家劉博士告訴Xtecher：普通小白用戶除了按照推薦設置開啟系統防火墻、打開系統更新、安裝殺毒軟件、不訪問可疑網絡內容、小心使用可插拔存儲之外，似乎沒什么可做的。

威客安全CEO陳新龍認為，高手在民間，不會只能束手就擒，大眾要做的是保護好自己的個人財產安全，資金分類，分形態存放。

那么，對于被勒索軟件加密的文件該如何處理？

杰思安全創始人劉春華表示，一旦文檔被加密，如果黑客不提供解密的密碼，則無法解密文檔。

所以，那些高校在寫論文的孩子們，請老老實實重新寫一遍！當然也可選擇給對方發去贖金，不過黑客很有可能會撕票。

當然，一個重要的破解信息或許已經出現。

目前，網絡上爆出已有專家查找出一個異常域名，網絡安全專家注冊該域名后，如果病毒能成功訪問這個域名，就會停止攻擊。

這個異常域名是：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

對此，婁偉峰表示：由于不知道消息出處，消息并不靠譜，具體以病毒產商樣本分析為主。

威客CEO陳新龍表示，域名確實是一個重要的破解信息，如果無法與域名通訊，還是會被感染。且后續病毒可能有新的變種，攻擊甚至更猛烈，只是互聯網上的傳播被遏制，如果域名被劫持，還會繼續破壞。

360安全首席工程師鄭文彬表示，這件事情，敲響了大眾“做好備份”的警鐘。

不過，即便有備份，也不一定百分百安全，尤其是對高校、政府等機構。

陳新龍告訴Xtecher：對于此次攻擊，即便政府有備份，但多數是離線備份，實時的業務數據一旦故障就無法更新，公共信息的服務基本都是動態的，所以大家誤以為不能使用。此外，觸發備份任務時，會涉及網絡鏈接，許多備份策略基于445端口，因此源文件及備份文件會一并感染。

當然，如果早期就打好補丁，做好預防，這次就可以幸免于難。

互聯網安全攻防，就像人類對于病菌的攻防，華為高級安全專家婁偉峰給出了一些建議：

對于Onion、WNCRY這類混合型病毒的威脅，可通過訪問控制手段，如防火墻，限制135、445等高位端口對內訪問。通過郵件安全網管、WEB防火墻，嚴格過濾從互聯網到內網的一切傳播手段和郵件附件，徹底切斷傳播途徑；

通過沙箱工具進行啟發式深度檢測，比如使用華為的Firehunter來對未知威脅乃至APT進行深度檢測，監控傳染源，及時切斷病毒傳播，再在核心交換，接入交換機上屏蔽掉一切高危端口；

最后，要有統一的終端安全工具，在終端上再次屏蔽高危的端口訪問，并通過統一的補丁管理，及時打上最新的針對于MS17-010的補丁，通過縱深防御、層級聯動的方式實現企業級安全的立體防護。

靜觀其變

1983年，凱文米特尼克因被發現使用一臺大學內部電腦，擅自進入Internet的前身ARPA網，并通過該網入侵美國五角大樓電腦，而被判管教6個月。這一事件成為黑客攻擊的開山之作。

更可怕的是，黑客攻擊手段曾出不窮：80年代的主流攻擊方式是密碼猜測、破解等；90年代是會話劫持、后門入侵等；2010年左右主要是遠程控制、DDoS攻擊、SQL注入等；2010年后主要是APT攻擊、移動終端、云攻擊等。

杰思安全創始人劉春華表示：全世界黑客這兩年的收益，是過去的5到10倍。黑客行為的逐利性帶來黑產的異常活躍，各種黑客勢力分工明確，形成完整合作鏈條，攻擊目標和手段更加精準。

在這種表面上的平靜之中，以竊密、預制為目的的APT攻擊，則由于其是高度隱秘的、難以為IT管理者感知到的攻擊，始終未能得到足夠的重視。

沒有引起足夠的重視，或許也是導致本次全球大范圍網絡遭受攻擊的原因。

而對于此事后續發展狀態如何，360安全首席工程師鄭文彬認為“還很難預測”，只能等待黑客的下一步動作。

互聯網正從PC時代走向移動時代，手機也將同樣面臨巨大的安全考驗。劉春華表示，未來移動智能終端安全將涉及各個方面，安全問題遵循“木桶效應”，解決一部分問題，不代表移動終端安全問題就得到了解決。

移動安全是一個生態圈，需大家共同努力，只有企業、應用市場、終端廠商、個人用戶各方一起攜手提高安全意識，才能最終建立并不斷優化移動智能終端的安全生態鏈。

此外，業務應用云端化，帶來了新一輪生產效率的提高，云的出現，是一次IT業務模式的重大變革，也讓為其提供支撐保障的安全體系，面臨著新的挑戰。除了云服務商提供一定的安全保障外，使用云端的客戶更要有防范意識，而非將安全交于他人之手。

道高一尺魔高一丈，網絡沒有絕對安全。威客安全CEO陳新龍認為，日后通過加密進行勒索的方式會層出不窮，取消隱蔽支付與變現，是遏制這類事件發生的關鍵，安全防御能力的自動化防御將是趨勢。

人工反應速度無法趕上機器傳播速度，這次事件各個國家將高度重視，帶來的世界級的影響也將給各類人群敲響警鐘，網絡安全戰略將走向一個新高度。

尾注：本文特別感謝所有嘉賓在周末夜晚第一時間響應了Xtecher的訪問！

本文作者Xtecher，億歐專欄作者；微信：Xtecher（添加時請注明“姓名-公司-職務”方便備注）；轉載請注明作者姓名和“來源：億歐”；文章內容系作者個人觀點，不代表億歐對觀點贊同或支持。